あなたが管理するネットワーク環境で,無線LANを使っているなら,米MicrosoftがWindows XP Service Pack 2(SP2)向けに無線LANのセキュリティを向上させるアップデートをリリースしたことを知っておくべきである(既報)。このアップデートは,XPの無線クライアント・ソフトウエアに「Wi-Fi Protected Access 2(WPA2)」機能を追加する(該当記事)。無線LAN規格の策定団体「Wi-Fi Alliance」によれば,WPA2は「IEEE 802.11iのamendment最終版に基づいており,FIPS 140-2準拠の資格がある」ものだという。
無線LANの暗号をより堅牢にするWPA2
WPA2は,既存の暗号化規格「Wireless Equivalent Privacy(WEP)」や「Wi-Fi Protected Access(WPA)」よりももっと堅牢なセキュリティを提供する。
WEPの解読が比較的容易なことは,既に知られている。私は,あるWEP接続のアカウントがほんの数分で破られたという記事を読んだことがある。WEPの後継であるWPAは,より堅牢になっているが,新しいWPA2ではさらに堅牢になっている。Wi-Fi Allianceによれば,WPAとWPA2の一番の違いはWPA2がネットワーク・トラフィックの暗号化に「Advanced Encryption Standard(AES)」を採用している点である。一方のWPAは,これよりも昔からある「Rivest Cipher 4(RC-4)」アルゴリズムを使っている。
「WPA2 Personal」は事前に共有されたカギを使い,「WPA2 Enterprise」は「Extensible Authentication Protocol(EAP)」でIEEE 802.1x認証を使う。WPAと同様にWPA2は無線のアクセス・ポイント(AP)間のローミング・アクセスも容易にする。いくつかのハードウエア・ベンダーは既にWPA2認定のアクセス・ポイント(AP)と無線LANのNIC(ネットワーク・インターフェース・カード)を作っており,その多くは複数のWindowsバージョンで動くWPA2のハードウエアとドライバ・ソフトも提供している。例えば米Broadcom,米Cisco Systems,米Devicescape Software(旧Instant802 Networks),米Intel,そして米Realtek Semiconductorはみんな,ほぼすべてのWindowsプラットフォームで使えるWPA2対応製品を製造している。ほかのベンダーたちは,やはりWPA2認定を受けた米Atheros Communications製のチップ・セットを使い無線LAN機器を作っている。
ホットスポットで安全を確保するWPS IE
「Wireless Provisioning Services Information Element(WPS IE)」の実装も,今回のアップデート対象に含まれている。いくつかの無線LAN接続のISP(インターネット接続業者)は,安全でないネットワークから802.1xを実装した安全なネットワークへの移行を進めている。この移行が進むと,ISPは安全でないネットワークに対して1つの「SSID(Service Set Identifier)」をブロードキャストし,安全なネットワークには別のSSIDをブロードキャストするように自分たちのAPを構成できる。APが「Beacon and Probe Request」フレームをブロードキャストする方法の違いによって,安全なネットワーク向けのSSIDは,WPS IEをサポートしていないシステムからは見えない。WPS IEは,コンピュータが双方のタイプのAPのSSIDを認識するのを助ける。
新しいアップデートについては冒頭に示したWebサイトで調べるられる。安全なホットスポットの作り方は,MSDN Libraryの記事「Securing Public Wi-Fi Hotspots」でも学べる(該当サイト)。MicrosoftのTechNetにも新しいCable Guyのコラム「Wi-Fi Protected Access 2(WPA2)Overview」がある。この記事では,カギのキャッシングや高速ローミング,事前認証などWPA2の詳細を解説している(該当サイト)。さらに,MicrosoftはWindows Sever 2003サイトにある多数の無線関連の記事へのリンクを定期的に更新している(該当サイト)。
「Deploying Wi-Fi Protected Access (WPA) and WPA2 in the Enterprise」というホワイト・ペーパーがWi-Fi AllianceのWebサイトからPDFフォーマットで入手できる(該当サイト)。Burton GroupのMichael Disabato氏による60分間のプレゼンテーション「Wi-Fi Protected Access: Locking Down the Link」は,WEP,WPA,WPA2の実装などをレビューしており,これもWi-Fi AllianceのWebサイトで閲覧できる(該当サイト)。
